随着计算机网络和Internet的不断发展，系统遭受的入侵和攻击也越来越多。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，是整个网络安全防护体系的重要组成部分。入侵检测规则语言是入侵检测系统用于定义攻击场景的表示规范，它不仅影响到整个系统的检测能力，而且影响系统的执行效率。因此，入侵检测规则语言的研究成为网络安全的重要问题。 本论文属于粤港关键领域重点突破项目“综合联动线速程控网络安检机”(简称安检机)的一个重要部分。安检机是一种新型的网络安全设备，为了实现高速的综合联动的安全防护，基于规则的检测是关键。 本文首先分析了网络安全面临的问题，介绍了安检机的研究意义和技术路线；接着介绍了入侵检测系统的相关知识，并对当前的一些常用网络攻击的原理和检测方法进行了分析，提出了一种面向检测的攻击分类法；在研究分析了多种典型的入侵检测规则语言的基础上，提出了一种基于状态图的检测语言CLS。CLS简化了STATL的实现语义，通过组合状态图(实例)来达到同样的表达能力，以减少资源消耗和提高执行效率；CLS还针对网络入侵检测系统的需求，修改了STATL的状态、事件等静态语义元素，限制了其队列、代码块的功能，以简化实现；网络数据包类型的使用，使得CLS易于支持新的网络协议(如IPv6)；标准扩展库的建立，提供了灵活性和可扩展性，方便用户定制自己的安全策略。文中给出了CLS语法和语义的形式化定义，以及攻击场景实例的对比分析。最后，在具体分析了入侵检测引擎的几种设计方案优缺点的基础上，提出了基于CLS的检测框架，并介绍了CLS翻译器的设计和实现。